Comments 39
С моего разрешения оформлено и запощено! спасибо автору:)
да… хабр уже не тот
за 230 американских рублей купить «Продукт» и ещё допиливать его напильником?
не… не круто… Хотя соглашусь, булка один из лучших движков, но я сторонник free
не… не круто… Хотя соглашусь, булка один из лучших движков, но я сторонник free
Спасибо, советы полезные, но что-то всё равно не то, наверно Булке пора выпускать новую исправленную версию, так как руками исправлять это не есть хорошо.
a) Вложения -> Метод хранения вложений
Вложения должны храниться в базе данных
b) Аватары -> Тип хранения изображений пользователя
Аватары должны храниться в базе данных
[сарказм]Ну нормальная рекомендация для школьного портала например.[/сарказм] Вместо того, чтобы отдавать аттачи, аватары быстро через nginx например, мы их фигачим через цепочку СУБД и фронтенда с бэкендом…
«Советы по защите форума vBulletin»
Если мне удастся залить shell, то я его пробью через папку avatars, ок
Если мне удастся залить shell, то я его пробью через папку avatars, ок
Это защита от прокаженных, достаточно в .htaccess запретить тогда уж выполнение любого php!
А разве в этом поделии (vBulletin) разрешена загрузка шеллов на сервер? Что за десткий сад? Как это можно залить скрипт вместо аватара?
И вообще, советы на уровне какого-то форума про хакерство для школьников (особенно про переименовние админки — на одном сайте админку переименовали в что-то вроде f3563f3e3fre53, но прописали путь к ней в robots.txt. Я посмеялся :) ). Какой смысл переименовывать админку, если вход в нее доступен только через пароль?
И что за чушь с «при ДДОСЕ отвалится php» — куда он отвалится, он же обычно сделан как модуль апача?
И вообще, советы на уровне какого-то форума про хакерство для школьников (особенно про переименовние админки — на одном сайте админку переименовали в что-то вроде f3563f3e3fre53, но прописали путь к ней в robots.txt. Я посмеялся :) ). Какой смысл переименовывать админку, если вход в нее доступен только через пароль?
И что за чушь с «при ДДОСЕ отвалится php» — куда он отвалится, он же обычно сделан как модуль апача?
Пункт 5. сомнительный т.к. будет пухнуть база еще и от атачей, да и какой смысл пихать статику (атачи, аватарки) в базу? К тому же это хреново скажется в виде нагрузки на сервак с базой данных. Вообщем пункт 5. очень спорный.
В кач-ве зашиты в папке атачей (с папкой аватарок так же) тоже кладут htaccess-файл и в нем блочат все расширения файлов кроме разрешенных.
В кач-ве зашиты в папке атачей (с папкой аватарок так же) тоже кладут htaccess-файл и в нем блочат все расширения файлов кроме разрешенных.
Не только нагрузка на бд, но и необходимость подключать php для отдачи статики станут проблемой.
Угу и не будет возможности использовать nginx что бы отдавать через него статику.
Не только нагрузка на базу, а и невозможность делать частые инкрементальные бэкапы, да и полный бэкап будет весить гигабайты с картинками.
Согласен, но в таком случае у администратора форума есть выбор — либо удобство бекапа, либо теоретическая возможность поиметь у себя шелл. Можно обезопасить себя htaccess, можно по-разному извернуться… выбор всегда за администратором, а я в этом топике хотел показать возможные варианты увеличения безопасности форума.
Большинство советов подходят практически к любому сайту. Особенно бэйсик авторизация для доступа в админку и выключение ненужных расширений. Хотя хороший фильтр при загрузке файла проверяет не расширение а содержание). А если сайт маленький можно запутать начинающих взломщиков (коих большинство) сменой расширений исполняемых файлов.
Есть еще один способ защиты это не доверять данным из вне и не надеятся на то что разработчики учли все возможные дыры в безопасности т.е. вешать при вызове первым скриптом проверку и фильтрацию входных данных на предмет всяких попыток пропихать XSS и SQL-иньекции + при попытках что пропихнуть себе отсылать оповещение и т.д…
Метод 5 — хранение в БД??? — Да вы что!!!
Вы представляете себе форум на 1,5млн сообщений, с 30.000 юзеров. Из них у 15.000 будет аватар и фотка личная. И все это в базе… А если к этому добавить аттачи на 20Гб… Я бы посмотрел на ваш сервер mysql, который быстро бы умирал даже на хорошем сервере
Вы представляете себе форум на 1,5млн сообщений, с 30.000 юзеров. Из них у 15.000 будет аватар и фотка личная. И все это в базе… А если к этому добавить аттачи на 20Гб… Я бы посмотрел на ваш сервер mysql, который быстро бы умирал даже на хорошем сервере
UFO just landed and posted this here
Вроде все перечисленное мог бы сделать автомат, то есть чтобы в ручную не делать, или?
А чтобы найти заразу, можно воспользоваться вот этим бесплатным скриптом: revisium.com/ai/
Sign up to leave a comment.
Советы по защите форума vBulletin